三周前,我收到了剑桥大学的一封非常讨人喜欢的信,其中提议担任亚当·史密斯经济学奖的法官:
亲爱的罗伯特,
我叫格雷戈里·哈里斯(Gregory Harris)。 我是亚当·斯密奖得主之一。
每年我们都会更新一个由独立专家组成的团队来评估竞争项目的质量: http://people.ds.cam.ac.uk/grh37/awards/Adam_Smith_Prize : http://people.ds.cam.ac.uk/grh37/awards/Adam_Smith_Prize
我们的同事推荐您作为该领域经验丰富的专家。
我们需要您的帮助来评估亚当·史密斯奖的几个项目。
等待您的回复。
问候,格雷戈里·哈里斯
我不会称自己为经济学的“专家”,但大学的要求似乎并不令人难以置信。 我订阅了
《经济学人》 ,我非常粗鲁地理解了中央银行设定利率的方式和原因。 我读了21世纪的《资本论》,基本了解了上半年的本质。
我的 博客上的几则
帖子都标有“经济”字样。 也许我可以为计算经济学的新学科做出一些贡献。 总体而言,亚当·史密斯奖的组织者似乎很想听听我的观点。 我承担了许多无薪工作,但报价仍然非常令人满意。
但是,我内心深处感到有些误解。 突然之间,我和罗伯特·希顿(Robert Heaton)以及加州大学圣地亚哥分校的霍伯特·里顿(Hobert Riton)教授混淆了。 尽管如此,我还是决定继续努力,并为这种幻想稍微发痒。
反身地,我执行了一些基本的安全检查。 该电子邮件是从
@cam.ac.uk发送的。 我将鼠标悬停在字母中的链接上-http:
http://people.ds.cam.ac.uk/grh37/awards/Adam_Smith_Prize 。 她指向与有效
cam.ac.uk子域上的文本相同的URL。 该页面放在个人目录grh327中而不是经济学系的页面中,这对我来说似乎有点奇怪。 但是好吧,它的官僚作风可能更少了。 我点击了链接,并阅读了有关亚当·斯密奖的历史。
如果“ Gregory”在此页面上仅添加了七个单词:“该页面应在Mozilla Firefox浏览器中查看”-我肯定会搞砸它。 但是稍后会更多。
然后,我转到
cam.ac.uk的
cam.ac.uk ,并确保它确实是剑桥大学的域名。 我迅速在剑桥大学的格雷戈里·哈里斯(Gregory Harris)上搜索,但收效甚微。 我隐约记得一些LinkedIn帐户。 但这是正常现象,并非每个人都有Twitter个人资料或美食博客。
我记得写给格雷戈里的信在我看来很短而且措辞很差。 我还认为,对他来说,吸取一些关于如何有效地要求互联网上的陌生人为他做免费工作的课程是很好的。 他很幸运,我不在乎这些琐事。 他也很幸运,我不在乎他在句子中没有错过“ the”。
We need your assistance in evaluating several projects for Adam Smith Prize 。 显然,我也不在乎他用大写字母写“组织者”,而且他似乎也不了解一段可以包含多个句子。
当时,我只是以为他不是一个很好的作家。
我之前曾表达过兴趣并要求提供更多信息,所以给了格雷戈里一个简短的答案。
你好格雷戈里
感谢您的来信。 我当然有兴趣 您能否再说一下这需要什么,谁推荐了我?
最好的罗布
格雷戈里迅速回答-我经商!
你好罗布
感谢您的快速回复。
您的候选人资格是我们从加利福尼亚大学旧金山分校收到的候选人名单上的。
我们将向您发送几个项目的描述以及评估它们的问题和标准的列表。
我认为该计划将在6月中旬完成。
最好的问候,格雷戈里
我开始觉得自己像个骗子。 可怜的霍伯特·里顿(Hobert Riton)独自一人坐在圣地亚哥的办公室,想知道为什么没人邀请他来评判比赛。 我决定与我的新朋友格雷戈里(Gregory)分享我的疑虑,而不是对我的技能有所怀疑。 如果他仍然想带我参加比赛,那不是我的错。
你好格雷戈里
我开始思考,突然之间有些混乱。 我读过保罗·克鲁格曼(Paul Krugman)的几本书,但我从未学习过经济学。 我是一名软件工程师-这是我的职业和教育(https://www.linkedin.com/in/robertjheaton/)。 您如何看待? 旧金山还有另一个罗伯特·希顿(Robert Heaton)对经济有更多了解吗?
罗布
但是,格雷戈里同意(比我希望的要快),可能有一个错误。
你好罗布
是的,可能会出错。 我将与同事协商,并会尽快与您联系。
最好的问候,格雷戈里
那是我从格雷戈里·哈里斯(Gregory Harris)听到的最后一件事。 故事似乎结束了。
但是在星期五,Coinbase收到了一封信:
你好
您最近可能已经收到来自格雷戈里·哈里斯(Gregory Harris)或尼尔·莫里斯(Neil Morris)的电子邮件,这些人冒充剑桥大学竞赛的组织者。 这些是伪造的配置文件,属于试图在您的计算机上安装恶意软件的高级攻击者...
如果您考虑一下,那真的很有意义。
我几乎沦为技术先进的针对性网络钓鱼活动的猎物。 据我所知(这显然没有写在任何地方,我很可能会误解),攻击者破坏了剑桥大学的电子邮件帐户和网页,这是由两个人格雷戈里·哈里斯和尼尔·莫里斯所拥有的。 然后,他们使用这些帐户进行网络钓鱼活动,以鼓励每个受害者访问位于
http://people.ds.cam.ac.uk的两个受感染页面之一。 如果受害者使用的是Firefox浏览器,则页面上的恶意Javascript使用了Firefox中
的0天漏洞 ,该
漏洞使漏洞利用范围超出了浏览器中的沙箱,并可以直接在操作系统中运行恶意软件。
我无忧无虑地跟随格雷戈里·哈里斯(Gregory Harris)发送的链接。 幸运的是,我使用了Chrome,因此恶意的JavaScript漏洞无济于事。 但是,如果攻击者做了些什么,并在页面开头仅添加了七个单词“该页面应在Mozilla Firefox浏览器中查看”,我将被强奸。 我会嘲笑那些尚未实现基本的跨浏览器兼容性的愚蠢的Web开发人员,并且会在Firefox中自鸣得意地复制链接。 甚至不清楚为什么攻击者没有。 也许他们没有完全控制页面的内容,或者他们试图表现得尽可能好。
最初,攻击者在Coinbase加密货币交易所针对员工。 但是他们很快将这项运动扩展到了据称与加密货币有关的人们的广泛受众。 他们可能想窃取我们甜美,无法追踪的区块链。 无论如何,它们都不是幸运的,因为我没有拥有任何加密货币,除了几颗恒星,我是免费接收并忘记了密码的。 如果他们或其他一些罪犯帮助他们归还,我将不胜感激。
攻击者拥有两个真实的个人资料,一个为期0天的Firefox漏洞,以及一个与加密货币相关的人员的电子邮件地址列表(加上我),攻击者开始工作。 他们残酷地利用无辜者的能力和重要性大肆宣传,并感染了在MacOS上Firefox中打开链接的所有人的特洛伊木马。 Firefox漏洞现在已修复,并且已删除了网络钓鱼电子邮件中的网页。 但是,如果至少有几个人未能获得数以千计的中本聪,我会感到惊讶。
不知道剑桥大学在这个故事中扮演什么角色。 我不知道“格雷戈里·哈里斯”和“尼尔·莫里斯”是真实的人,他们的大学帐户遭到了破坏,还是这些伪造的人是由破坏了整个大学计算机系统的人造的,或者我只是不明白发生了什么。 以防万一,如果这些人是真实的人,我不想公开地盯着格雷戈里或尼尔的网络生活,但我强烈怀疑这些人仍然是假帐号。 这是一个毫无根据的假设,也是随后的所有假设,因此,如果您在剑桥大学工作,请不要向我发送仇恨言论。 请告诉我们真正发生了什么。
除了他们的LinkedIn个人资料外,我在网上找不到Gregory Harris或Neil Morris的任何迹象。 再一次,这是正常的。 并非每个人都有Instagram或《星球大战》粉丝小说。 但是,格雷戈里·哈里斯(Gregory Harris)的LinkedIn个人资料最近已被删除-他仍出现在Google搜索中,但在LinkedIn上不可用。 虽然尼尔·莫里斯(Neil Morris)的个人资料仍然存在,但可能是假的。
乍一看,Neal的个人资料看起来相当合理。
但是Google进行的快速搜索显示,描述是从另一个LinkedIn个人资料复制而来的。
这足以让我证实自己的怀疑。 但是,如果您仔细观察,我们会发现一些更有趣的细节:
- 尼尔对他的硕士学位的描述有点奇怪。 他写了“五门课程和一篇论文”,但随后只列出了四门课程。
- 尼尔在高中度过了七年。 这是英国的标准。 但显然,他的后两年与大学的前两年相吻合。 没有道理
- 尼尔将他的大学前教育描述为“高中”。 在英国,我们没有“高中”,我们称之为“中学”。 如果尼尔是美国人或试图与美国观众交流,这可能是有道理的,但没有迹象表明。
- LinkedIn个人资料照片-库存照片剑桥大学。 起初我没有注意,但鉴于上述情况,这似乎有些奇怪。 他是否真的热爱自己的大学,以至于在自己的个人资料中使用自己的照片? 甚至不是办公室的照片,而是大学? 更有可能有人试图伪造个人资料,告诉不经意的读者:“我在剑桥大学工作,没什么可看的。”
尼尔,如果您存在,并且这是您真正的LinkedIn个人资料,那么,对不起。 但是,如果您是一个如此真实的人,那么您为什么要复制别人的自我描述?
我认为点击网络钓鱼电子邮件中的链接并不是我的疏忽。
cam.ac.uk子域上的0天浏览器漏洞的利用不是我个人威胁模型的一部分,我认为这是合理的。 安全应该与实用主义相平衡。 在通往Bruce Schneier的信任网络上,不可能使用GPG签名对世界上的任何事物进行签名。 但是,我的
推特已经准备好在私人消息中批评该声明。
但是,这一集让人感到难以置信的尴尬。 尽管故事很开心,但我仍然因网络钓鱼攻击而倒下,几乎吞下了诱饵。 我很幸运,对于我不使用的软件,攻击向量为0天,而不是更普通的东西。 如果继续进行字母交换,我可能会包含Gregory Harris发送的Microsoft Office文档的宏,如果他说这是注册过程的一部分,甚至可以运行他发送的程序。 正如我已经提到的,我没有加密货币,但是互联网银行的帐户中有钱,通常希望保留。
我不知道这个故事的寓意是什么。 可能的主要结论是,即使与陌生人在Internet上进行通信,即使他们具有带有有效DKIM签名的合法电子邮件地址,也应保持警惕。 此外,如果您相信别人的故事,尤其是如果这个故事对您而言令人愉悦,那么很容易忽略大量的不一致和奇怪之处。 回顾过去,完全相信剑桥大学会邀请我来评判经济竞争是完全荒谬的。当我阅读格雷戈里·哈里斯(Gregory Harris)的电子邮件时,很明显这不是在线通讯专业人士。 但是由于
@cam.ac.uk和我自己的邮件,我没有认真思考,并被错误的安全感所
@cam.ac.uk 。
和最后的道德。 在谦虚地(也毫不谦虚地)告诉别人您被邀请评判亚当·史密斯经济学奖之前,请三思而后行。